ITセキュリティ入門(IT初心者向け)-10:ネットワークの防火壁、ファイアウォール
ネットワークの防火壁、ファイアウォール
ファイアウォールとは防火壁という意味で、LANなどの内部ネットワークとインターネットなどの外部ネットワークの境界に設置して、外部からの不正アクセスを防ぐ役割があります。一般的にはパケットフィルタリングという機能を使って、データの通過(許可)または遮断(拒否)を行います。
- パケットフィルタリング:IPパケットのヘッダ情報(送信元IPアドレスや送信先IPアドレス、送信元ポート番号や送信先ポート番号など)を解析して、アクセスリスト(IPパケットの禁止・許可ルール一覧)をもとに許可されたIPパケットだけを通過させる。
そして、非武装地帯という意味のDMZ(DeMilitarized Zone)という内部ネットワークと外部ネットワークの間に構築するネットワークがあります。DMZには、インターネットに公開するWebサーバやメールサーバなどを設置して、内部ネットワークを隔離して保護します。
また、WAF(Web Application Firewall)というウェブアプリケーションへの攻撃(クロスサイトスクリプティング、SQLインジェクションなど)に特化したファイアウォールもあります。
マイノート(これまでの私の体験・見聞から一言)
外部ネットワークからの攻撃を防ぐのに、まずはファイアウォールが必要です。仕組み自体はシンプルで、必要な通信データだけを通過させるという技術です。そのためには、アクセスリストという禁止・許可ルール一覧が重要で、このアクセスリストにどのIPパケットは通過させるか、遮断するかを設定しておきます。
ただし、このアクセスリストのメンテンナンスは容易ではありません。ネットワーク内のサーバや機器が増えてくると、それらに対するアクセスリストへのルールの追加設定が必要になってきます。このようにしてアクセスリストが、往々にして複雑で長いリストになっていきます。そうなると、不必要になったルール設定などが削除されなかったりして、不要なデータが通過できる状態になったりします。とにかくアクセスリストの定期的な見直しは重要です。
また、WAFはウェブアプリケーションへの攻撃を防ぐのにとても効果的ですが、この設定も気をつけないと、本来許可すべきデータが遮断されてウェブアプリケーション自体が正しく動作しないという事が起こったりします。
ファイアウォールは重要なセキュリティ対策ですが、その適切な設定を維持していくのは、容易ではありませんね。
